(19) 



J) 



Europaisches Patentamt 
European Patent Office 
Office europeen des brevets 



(12) 



(id EP 0 944 027 A2 

EUROPAISCHE PATENTANMELDUNG 



(43) Veroffentlichungstag: 

22.09.1999 Patentblatt 1999/38 

(21) Anmeldenummer: 99250071.0 

(22) Anmeidetag: 09.03.1999 



(51) Intel 6; G07B 17/00 



(84) Benannte Vertragsstaaten: 


(71) Anmelder: Francotyp-Postalia 


AT BE CH CY DE DK ES Fl FR GB GR IE IT LI LU 


Aktiengesellschaft & Co. 


MC NL PT SE 


16547 Birkenwerder (DE) 


Benannte Erstreckungsstaaten: 




AL LT LV MK RO SI 


(72) Erfinder: Pauschinger, Dieter, Dr. 
16540 Hohen Neuendorf (DE) 


(30) Prioritat: 18.03.1998 DE 19812903 





(54) Frankiereinrichtung und ein Verfahren zur Erzeugung gultiger Daten fur Frankierabdrucke 



(57) Eine Frankiereinrichtung (10) fur ein kleines 
Postauf kommen besteht aus einem Computer (11) und 
mit einem angeschlossenen Drucker (17), wobei der 
Computer einen Speicher (1 3) mit einer lokaten Daten- 
bank fur PostempfangeradreBdateien uber ein Kommu- 
nikationsmittel (1 5) mit einer Datenzentrale (20) verbun- 
den ist, welche eine zentrale Datenbank (23) aufweist. 
Der Computer (11) ist entsprechend programnriiert, daB 
Anforderungsdaten gebildet und zur Datenzentrale 
ubermittelt und angeforderte zuruckubermittelte Daten 
empfangen und gespeichert werden. Das Verfahren zur 
Erzeugung gultiger Daten fur Frankierabdrucke umfaBt 
dabei folgende Schritte: 

Bildung und Ubermittlung von Antorderungsdaten 



fur eine Signatur, 

Verifikation von ubermittelten Daten in einer Daten- 
zentrale (20), 

Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
Signatur zur Frankiereinrichtung (1 0), wobei die Au- 
thentizitat der zuruckuberrnittelten Daten anhand 
der Signatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
der lokalen Datenbank (13). 
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Beschreibung 

[0001] Die Erfindung betrifft eine Frankiereinrichtung 
und ein Verfahren zur Erzeugung gultiger Daten fur 
Frankierabdrucke gemaG des Oberbegriffs des An- 
spruchs 1 beziehungsweisedes Anspruchs4. Die Fran- 
kiereinrichtung ist insbesondere im Heimbereich und fur 
Anwender geeignet, die nur wenig Poststucke versen- 
den. 

[0002] In der DE 40 18 166 C2 wurde bereits fur sol-, 
che Anwender mit geringem Postgutaufkommen ein 
Frankiermodul fur einen Personalcomputer vorgeschla- 
gen, in dessen Slot eines Laufwerkeinschubes das 
Frankiermodul angeordnet ist, welches sowohl das 
Frankieren als auch das Adressieren von Brief umschla- 
gen gestattet. Ein solches Frankiermodul ist von einem 
gesicherten Gehause umgeben und hat schaltungs- 
technisch den gleichen Aufbau, wie eine Frankierma- 
schine, bei welcher die Brieftransportvorrichtung einge- 
spart wird. Es versteht sich von seibst, daB ein derartig 
abgerustetes Frankiermodul billiger angeboten werden 
kann, als eine Frankiermaschine. 
[0003] Durch den Einsatz des Frankiermoduls kann 
die Abrechnung der Frankierung und das Drucken des 
Frankierstempel-bildes nicht von extern manipuliert 
werden. Die AdreBdaten werden von einem vom Perso- 
nalcomputer verwalteten Speicher gelesen und uber 
das interne Informationsnetz dem Frankiermodul zuge- 
fuhrt. Dabei ist allerdings nicht ausgeschlossen, daB 
fehlerhafte AdreBdaten letztendlich dazu fuhren, daB 
der Postbeforderer das Poststuck nur schwer Oder gar 
nicht dem Postempfanger zustellen kann. Bei einem di- 
gitalen Druckverfahren ist es schwer festzustellen, ob 
das gedruckte Frankierstempelbild nicht bloB eine un- 
abgerechnete Kopie eines fruheren Abdruckes ist und 
mit einer gewunschten anderen Adresse kombiniert 
wurde. Deshalb werden spezieile rote fluoreszierenden 
Tinten vorgeschrieben, welche schwer zu kopieren sind. 
Durch die inszwischen erreichten Fortschritte bei Farb- 
kopierem und Farbdruckem kann eine derartige 
MaGnahme nicht mehr ats ernst zunehmendes Hinder- 
nis gelten, gefalsche unabgerechnete Abdrucke herzu- 
stellen. 

[0004] Gewohnlich ist am Personalcomputer auch ein 
Drucker angeschlossen, mit dem heutzutage nicht nur 
Briefe ausgedruckt, sondem auch Adressen auf Kuver- 
te gedruckt werden konnen. Grundsatzlich kann damit 
auch das Kuvert frankiert werden. Es ist jedoch schwie- 
rig bei solchen offenen Systemen eine Manipulation zu 
verhindern. Uber die ungestcherten Verbindungsleitun- 
gen, konnte namlich ein Manipulator in Falschungsab- 
sicht versuchen, Daten in das System einzuspeisen, in- 
dem er vortauscht, sie kamen von der dazu authorisier- 
ten Stelle. 

[0005] Die US-Postbehorde hat einen im Jahre 1996 
veroffentlichten Katalog mit Anforderungen an die Kon- 
struktion von zukunftigen sicheren Frankiersystemen 
aufgestellt (Information based Indicia Program IBIP). 



Darin wird angeregt, bestimmte Daten kryptografisch zu 
verschlOssen und in Form einer digitalen Unterschrift 
auf den zu frankierenden Brief zu drucken, anhand de- 
rerdie Postbehordedie Echtheit von Frankierabdrucken 

s uberprufen kann. Bei der US-Postbehorde entsteht 
nach geschatzten Angaben durch Betrug ein jahrlicher 
Schaden vonca. 200 Millionen US-$. Diese Anforderun- 
gen sind nach Art der Frankiereinrichtung differenziert 
worden. Traditionelle Frankiermaschinen, welche in der 

10 Regel nur einen Frankierstempel in Rot aufdrucken wer- 
den auch als "closed systems" bezeichnet und brau- 
chen anders als bei sogenannten "open systems" (PC- 
Frankierer) die entsprechende Briefadresse nicht in die 
Verschlusselung mit einbeziehen. Fur open systems ist 

*5 jedoch weiterhin ein Sicherheitsmodul mit fortschrittli- 
cher Kryptotechnologie und gesichertem Gehause vor- 
geschrieben, in welches Daten der Datenzentrale ein- 
gespeichert werden konnen. 

[0006] Aus der US 5.625.839 ist das Senden einer 

20 Update-Information als Datenpaket an eine Frankierma- 
schine bekannt. Mit einer CRC-Prufsumme kann zwar 
die Fehlerfreiheit der Datenubermittlung gepruft wer- 
den, was jedoch noch nichts uber die Richtigkeit des 
ubermittelten Dateninhaltes seibst aussagt. Ein Pro- 

25 blem konnte wegen der ungesicherten Verbindungslei- 
tung entstehen, wenn namlich ein Manipulator in Fal- 
schungsabsicht versucht, Daten in die Frankiermaschi- 
ne einzuspeichern, indem er vortauscht, sie kamen von 
der Datenzentrale. 

30 [0007] In der DE 38 40 041 A1 wurde deshalb bereits 
eine Anordnung vorgeschlagen, in welcher eine Fran- 
kiereinrichtung uber eine standig in Betrieb befindliche 
TEMEX-Standleitung mit einem Zentralrechner verbun- 
den ist. Der Postkunde gibt in die Frankiereinrichtung 

35 den gewunschten Frankierwert ein. Letzterer wird zum 
Zentralrechner ubertragen, welcher mit einem Giro- 
Rechner verbunden ist, bei welchem der Kunde ein 
Postgiro-Konto hat Nach einer Deckungsprufung 
nimmt der Giro-Rechner die Abrechnung vor und der 

40 Zentralrechner gibt die Frankiert unktion frei. Auch die 
Frankiereinrichtung seibst besitzt zusatzlich postal ische 
Speicher, welche aufgrund des Datenverbundes abge- 
fragt werden konnen und eine zusatzliche Sicherheit vor 
Datenverlust im Falle eines Rechnerausfalls bieten. Der 

45 Zentralrechner I6st einen Alarm aus, wenn diese Stand- 
leitung unerlaubt angezapft Oder unterbrochen wird. Es 
ist allerdings aufwendig und somit nicht uberall moglich, 
eine solche spezieile gesicherte Leitung einzusetzen. 
[0008] Aus dem EP 373 971 B1 ist ein Kommunikati- 

so onssystem bekannt, mit einem Ubermitteln von Adres- 
sendaten von einer lokalen zu einer zentralen Daten- 
bank in einer Datenzentrale, ein Aktualisieren der ge- 
speicherten Adressendaten in der einer zentralen Da- 
ten bank der Datenzentrale anhand der ubermittelten 

55 Adressendaten und ein Modifizieren der Adressendaten 
der im System vomancJenen lokalen Datenbanken an- 
hand deraktualisierten Daten der Datenzentrale. Damit 
wird zwar ein Gteichhatten der Daten in jeder lokalen 
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Datenbank entsprechend einer zentralen Datenbank er- 
reicht. Bei einer ungesicherten Verbindungsleitung 
kann aber nicht verhindert werden, daft eine unrichtige 
Adresse in der zentralen Datenbank der Datenzentrale 
gespeichert und von dort auf die jeweilige lokale Daten- 
bank der weiteren Benutzer ubertragen wird. 
[0009] In der EP 782 296 A2 wurde zum Abrufen ei- 
nes Zertifikates von einem Adressenbuchspeicher uber 
eine ungesicherte Kommunikationsverbindung zwar ein 
Public Key-Verfahren vorgeschlagen, jedoch kann da- 
mit nur gesichert werden, daB die ubermittelte Nachrich 
authentisch ist. Somit konnte ebensogut auch eine ge- 
falschte Nachricht ubermittert werden, deren Zertifikat 
aber echt ist. 

[0010] In frankierenden Systemen kommt es neben 
der Richtigkeit und Echtheit einer Nachricht zugleich auf 
die richtige Abrechnung an. Es ist deshab schon eine 
Portobox in einem Terminal (US 5,233,657) bzw. ein ge- 
sichertes Modul (US 5,625.694) vorgeschlagen worden, 
in welchem die Abrechnungsdaten gespeichert werden. 
Das Terminal gemaB der in der US 5,233,657 vorge- 
schlagenen Losung, wird als Fax- und Fran kierge rat ge- 
nutzt, wobei wesentliche Frankierbilddaten von einer 
Datenzentrale angefordert werden und dann mit ande- 
ren Bilddaten, welche tm Terminal gespeichert sind, als 
Frankierabdruck vervoHstandigt ausgedruckt werden. 
Die Kommunikation zwischen Terminal und Datenzen- 
trale wird durch ein kryptographisches Verfahren gesi- 
chert, z.B. nach dem bekannten RS A- Verfahren. Aus 
den das Terminal kennzeichnenden Daten wird von der 
Zentralverarbeitungseinheit des Terminals ein Siche- 
rungscode erzeugt und gemeinsam mit dem Frankier- 
wert abgedruckt. Nachteilig ist die langwierige Rechen- 
arbeit, welche die Zentralverarbeitungseinheit durch- 
fuhren muB, einerseits wenn Bilddaten nach dem RSA- 
Verfahren entschlusselt werden und andererseits wenn 
der Sicherungscode erzeugt wird. 
[0011] In der US 5,625.694 wird ein Computer mit ei- 
nem gesicherten Modul ausgerustet. Bei einer Anforde- 
rung einer digitalen Unterschrift an ein solches gesi- 
chertes Modul, wobei die Anforderung in Abhangigkeit 
einer Anderung bezuglich des eingegebenen Frankier- 
wertes und einer Empfangeradresse erfolgt, generiert 
das gesicherte Modul dann einerseits eine entspre- 
chende digitale Unterschrift und ubermittelt diese an 
den Mikroprozessordes Computers : aber fuhrt anderer- 
seits auch die Abrechnung durch. Der Mikroprozessor 
des Computers generiert dann ein Druckbild entspre- 
chend des Frankierwertes und der Empfangeradresse 
sowie der ubermittelten Signatur. Eine Signatur wird nur 
dann nicht vom gesicherten Modul angefordert, wenn 
weder der Frankierwert noch die Adresse geandert wird. 
Eine Kopie desselben Abdruckes wird somit nicht im ge- 
sichertem Modul mitabgerechnet. Dem Postbefdrderer 
obliegt die Authentizitatsprufung fur jedes einzelne 
Poststuck. Auch geringste Unterschiede in der Adresse 
wirken sich auf die Signatur aus. Es ist jedoch nicht si- 
cher, daB vom Benutzer die Eingabe einer gultigen 



Empfangeradresse erfolgt. Ein mit einer ungultigen 
Empfangeradresse versehenes Poststuck kann u.U. 
nicht zugestellt werden, obwohl es mit einem gultigem 
Porto frankiert worden ist und das Porto ordnungsge- 

5 maB im gesicherten Modul abgerechnet wurde, weil die 
Adresse nachtraglich nicht korrigierbar ist. Aufwendig 
ist bei alien vorgenannten Losungen die Notwendigkeit 
der Anordnung eines gesicherten Moduls im Endgerat. 
[0012] Aufgabe ist es, eine Low-end-Frankiereinrich- 

10 tung mit einer lokalen Datenbank zu schaffen, wobei in 
der lokalen Datenbank der Frankiereinrichtung gultige 
Adressen gespeichert sind. Weiterhin soil ein Verfahren 
zur Erzeugung gultiger Daten fur Frankierabdrucke an- 
gegeben werden, so daB im Ergebnis gultige Frankier- 

15 werte mit gultigen Adressen zusammen mit einer Signa- 
tur auf das Poststuck gedruckt werden konnen. 
[0013] Die Aulgabe wird mit den Merkmalen der An- 
spruche 1 und 4 geldst. 

[0014] Die Notwendigkeit der Anordnung eines gesi- 

20 cherten Moduls im Endgerat entfallt. Damit entfallt auch 
die Notwendigkeit ein Guthaben in das Endgerat nach- 
zuladen und die Kommunikation entsprechend sicher 
vor Manipulation des Guthabens zu gestalten. Erfin- 
dungsgemaB wird eine digitale Signatur in einer Daten- 

25 zentrale eines Herstellers von Frankiersystemen bzw. 
eines Postbeforderers erzeugt. Die Kommunikation mit 
der Datenzentrale ist relativ kurz, da die ubermittelten 
Klardaten weder Bilddaten umfassen noch alle Daten 
verschlusselt werden, sondern neben den Klardaten nur 

30 eine relativ kurze Signatur zuruckubermittelt wird. Vor- 
teilhaft ist weiterhin die Dienstleistung der Datenzentra- 
le bezuglich einer Korrektur einer fehlerhaft eingege- 
ben-den Postempfangeradresse. Somit konnen Fehl- 
frankierungen vermieden werden. In einer Variante 

35 kann als zusatzliche Dienstleistung von der Datenzen- 
trale eine Portoberechnung nach gultigem Tarif vorge- 
nommen werden. Gunstig ist auch fur die Manipulati- 
onssicherheit, daB geheime Schlussel und andere si- 
cherheitsrelevante Daten nur in der Datenzentrale ge- 

40 speichert sind und nach extern nicht ausgelesen wer- 
den konnen. Der Abdruck der ubermittelten Daten auf 
daB Poststuck kann auch zu einem beliebig spate ren 
Zeitpunkt erfolgen. Fur die externe Bilderzeugung aus 
den ubermitterten Daten existieren keine Einschrankun- 

4s gen. So konnen unterschiedliche Druckverfahren zum 
Einsatz kommen. Den unterschiedlichen Einsatzbedin- 
gungen und Anforderungen der einzelnen Postbeforde- 
rer kann so am besten entsprochen werden. 
[0015] Vorteilhafte Weiterbildungen der Erfindung 

50 sind in den Unteranspruchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mit der Beschreibung der 
bevorzugten Ausfuhrung der Erfindung anhand der Fi- 
guren naher dargestellt. Es zeigen: 

55 Fig. 1, Blockschaltbild fur die Frankiereinrichtung 
und die Datenzentrale, 

Fig. 2, Beispiel fur einen Abdruck auf einem Post- 
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stuck. 

[0016] Im Blockschaltbild gemaB Fig.1 ist eine Daten- 
zentrale 20 mit Frankiereinrichtungen 10 und 30 und mit 
einer Prut ungsstelle 50, beispielsweise im Postamt, des 
Postbeforderers uber ein Kommunikationsnetz 40 kom- 
munikativ verbunden. 

Die Frankiereinrichtung 10 ist als ein von einem ersten 
Computer 11 gesteuerter digitaler Drucker 17 ausgebil- 
det, welcher mindestens Briefumschlage eines Forma- 
tes bedrucken kann. Beispielsweise ist ein Personal- 
computer PC 1 einerseits uber ein ungesichertes Kabel 
16 mit dem Drucker 17 verbunden und kann anderer- 
seits via Modem 15 und Kommunikationnetz 40 mit der 
Datenzentrale 20 on-line eine Kommunikationsverbin- 
dung aufnehmen. Mit dem ersten Computer 11 sind ein 
Festplattenspeicher 13 fur eine lokale Datenbank, eine 
Tastatur 14 und eine Anzeigeeinheit 12 verbunden. 
Durch die letztgenannten Ein/Ausgabemittel 12 und 14 
konnen entsprechende Eingaben getatigt und sichtbar 
gemacht bzw. die weitere Prog ram mabarbeitung uber- 
wacht werden. Wahrend der on-line Verbindung erfolgt 
eine Abstimmung des Datenbestandes der lokalen Da- 
tenbank und eine Speicherung der ubermittelten Daten. 
Die Erzeugung von Abdrucken auf der Basis der uber- 
mittelten gespeicherten Daten kann zu einem spate re n 
Zertpunkt erfolgen. 

[001 7] Die Datenzentrale 20 besteht aus einem zwei- 
ten Computer 21 . vorzugsweise ein Personalcomputer 
PC 2, mit angeschlossenen Ein/Ausgabemitteln 22 und 

24, einer Festplatte 23 und mindestens einem Modem 

25. Die Festplatte 23 speichert spezielle Dienstlei- 
stungsprogramme und Buchungs- bzw. Abrechnungs- 
daten fur Dienstleistungen, welche fur einen Kunden er- 
bracht werden. 

[001 8] Auf die Festplatte 1 3 des ersten Personalcom- 
puters PC 1 ist ein entsprechendes Anwendungspro- 
gramm geladen, welches aut die Bedurfnisse der Be- 
nutzer fur soho (smal office & home office) Markte zu- 
geschnitten ist. In einem solchen Markt kommt es nicht 
auf die Stuckzahl frankierter Briefe pro Zeiteinheit an, 
sonde m nur auf geringen Auf wand bei moderaten Ko- 
sten. Eine bloBe Nachricht konnte zwar per email ver- 
schickt werden. Doch in der Praxis sollen auch unikate 
Orginale an Bildern, Fotos, Buchem, Stoffe usw. in ei- 
nem Umschlag kuvertiert verschickt werden. Die Erfin- 
dung geht deshalb davon aus, daB das Grundsystem 
bestehend aus einem Computer und Drucker bereits 
beim Benutzer vorhanden ist. Nurdann kann im Endge- 
rat auf zusatzliche und teure Hardware-Komponenten, 
beispielsweise auf ein Sicherheitsmodul, verzichtet 
werden, wenn das Frankiersystem entsprechend erfin- 
dungsgemaB ausgebildet ist. Der Computer muB zur 
Verarbeitung modemer Kryptotechnologien hardware- 
maBig mit einem schnellen modernen Prozessor und 
genugend Speicherplatz ausgerustet sein. 
Die Erfindung setzt weiterhin vorraus, daB Kommunika- 
tionsverbindungen uber das Netz 40, beispielsweise 



solche via Internet, WWW (Word Wide Web) oder ISDN, 
zukunftig kostengunstig hergestellt werden konnen. 
[0019] Die Erfindung besteht dartn, daB die Daten- 
zentrale anhand einer aul der Festplatte 23 geschaffe- 

5 nen zentralen Datenbank die Gultigkeit einer Postemp- 
fangeradresse uberpruft und gegebenenfalls hersteilt, 
daB aber die Frankiereinrichtung vor einer Speicherung 
in der lokalen Datenbank die Authentizitat einer uber- 
mittelten Postempfangeradresse uberpruft. Dabei wird 

to ein offentlicher Schlussel verwendet, welcher vorzugs- 
weise zusammen mit der gultigen Postempfanger- 
adresse und mit der Signatur von der richtigen Daten- 
zentrale ubermittelt wird. Keine andere als nur die rich- 
tige Datenzentrale kann die authentische Signatur er- 

75 zeugen. 

[0020] Die Uberprufung der Gultigkeit einer Adresse 
setzt eine Pf lege der AdreBdateien der zentralen Daten- 
bank durch einen Postbeforderer bzw. durch einen dazu 
vom Postbeforderer beauftragten Dienst vorraus. Zur 
20 Deckung der dadurch entstehenden Kosten wird die 
Nutzung der AdreBdateien durch externe Benutzer als 
kosten pf I ichtige Dienstleistung dem Benutzer in An- 
rechnung gebracht. 

[0021] Zur Durchfuhrung der Uberprufung wird min- 

2S destens die zu druckende Postempfangeradresse (An- 
schrift) zunachst an vorgenannte Datenzentrale uber- 
mittelt. Eine falsche Scheibweise der Anschrift kann au- 
tomatisch anhand der Postleitzahl oder eines ahn lichen 
Bestimmungscode korrigiert werden, wenn zu letzterem 

30 eine entsprechende Datei in der zentralen Datenbank 
existiert. Das gilt auch umgekehrt. tst jedoch eine auto- 
matische Korrektur nicht moglich, wird der Benutzer 
daruber informiert und aufgefordert die Adresse korrekt 
einzugeben. Nach der Uberprufung wird ein dem gulti- 

35 gen Tarif entsprechender Postwert und die gultige, 
eventuell zuvor korrigierte, Anschrift mit Postleitzahl an 
die Frankiereinrichtung zuruckubermittelt, wobei die zu- 
ruckubermittelten Daten mittels einer Signatur miteinan- 
der verknupft sind. Als Zwischenschritt wird eine Nach- 

40 richt aus den zu ubermittelnden Daten erzeugt, indem 
eine spezielle mathematische Funktion zur Anwendung 
kommt, welche die zu verschlusselnde Datenmenge re- 
duziert. Die Signatur wird durch Verschlusselung der 
Nachricht mit einem geheimen privaten Schlussel nach- 

45 einem bekannten nichtsymmetrischen Verschlusse- 
lungsalgorithmus erzeugt. 

[0022] Ein geeigneter bekannter asymmetrischer 
Verschlusselungsalgorithmus ist beispielsweise der Di- 
gital Signatur Algorithmus(DSA), ein Elliptic Curve Digi- 

50 tal Signatur Algorithmus (ECDSA) oder der ELGamal 
Algorithmus (ELGA). Diesen Signatur Algorithmen ist 
ein Schlusselpaar gemeinsam, welches einen privaten 
und offentlichen Schlussel umfaBt. Der private Schlus- 
sel ist ein geheimer nicht nach extern auslesbarer 

55 Schreibschlussel. Und der offentliche Schlussel fungiert 
als Leseschlussel fur die Signatur und ist jederman zu- 
ganglich. 

[0023] In der nicht vorveroffentlichten deutschen An- 
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meldung mit dem Titel: "Verfahren fur eine digital druk- 
kende Frankiermaschine zur Erzeugung und Uberpru- 
fung eines Sicherheitsabdruckes". wurden derartige 
asymmetrische Verschlusselungsalgorithmen auf "clo- 
sed systems" angewendet nahererlautert. Auf der Fran- 
kiermaschinenseite wird jedoch im Unterschied zur er- 
findungsgemaBen Losung ein Postage Security Device 
zur Verschlussellung eingesetzt, das erfindungsgemaB 
nun entfallen kann. 

[0024] Statt dessen hat die Festplatte 23 des zweiten 
Computers 21 der Datenzentrale 20 speziell gesicherte 
Speicherbereiche zur Speicherung des privaten Schlus- 
sel, so daB letzterer nicht von extern ausgelesen wer- 
den kann. Atternativ kann ein separator Speicher, bei- 
spielsweise ein Halbleiterspeicher, zur sicheren Spei- 
cherung des privaten Schlussels verwendet werden, 
wobei der Speicher im Computer integriert und gegen 
unberechtigtes Auslesen gesichert ist. 
[0025] Es ist vorgesehen, daft der erste Computer 1 1 
mittels eines Anwenderprogramms im Speicher pro- 
grammiert ist, um 

auf eine gespeicherte bestimmte Postempfanger- 
adresse zuzugreifen oder eine neu eingegebene 
bestimmte Postempfangeradresse zwischenzu- 
speichern, 

Anforderungsdaten des Postabsenders per Kom- 
munikationsmittel zur Datenzentrale zu ubermit- 
teln, wobei die Anforderungsdaten die Identifikati- 
onsdaten des Postabsenders und Postversen- 
dungsdaten, einschlieBlich die bestimmte Post- 
empfangeradresse, umfassen, um die Richtigkeit 
der Postempfangeradresse mittels eines zweiten 
Computers zu bestatigen oder anhand einer in der 
zentralen Datenbank gespeicherten AdreBdatei 
herzustellen, 

Daten zu empfangen, betreffend eine gultige Post- 
empfangeradresse von einer in der zentralen Da- 
tenbank gespeicherten AdreBdatei, einen gultigen 
Portowert und eine Signatur, wobei der zweite 
Computer der Datenzentrale die angeforderten Da- 
ten nur mit einer Signatur ausstattet, wenn eine gul- 
tige Postempfangeradresse in der zentralen Daten- 
bank gespeichert ist, wobei eine Mitteilung erzeugt 
wird, wenn eine automat ische Korrektur einer Post- 
empfangeradresse unmdglich ist, 
die von der zentralen Datenbank empfangenen Da- 
ten einschlieBlich der Signatur zu verarbeiten, um 
einen authentischen Frankierabdruckauf das Post- 
stuck abzudrucken. 

Es ist weiterhin vorgesehen, die Authentizitat der zur 
Frankiereinrichtung ubermittelten empfangenen Daten 
anhand der Signatur zu uberprufen undbei Authentizitat 
die AdreBdatei in der lokalen Datenbank bezuglich der 
bestimmte Postempfangeradresse zu aktualisieren. 
[0026] Das erfindungsgemaBe Verfahren zur Erzeu- 
gung eines gultigen Datenbestandes fur Frankierab- 



drucke umfaBt folgende Schrrtte: 

Bildung und Ubermittlung von Anforderungsdaten, 
mit welchen ein erster Computer der Frankierein- 

s richtung von einem zweiten Computer einer Daten- 
zentrale eine Signatur anfordert, wobei die Anfor- 
derungsdaten mindestens eine Informationsgruppe 
mit Postempfangeradressendaten und Identifikati- 
onsdaten einschlieBen, 

70 - Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
is Signatur zur Frankiereinrichtung, wobei die Authen- 
tizitat derzuruckubermittetten Daten anhand der Si- 
gnatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
20 einer lokalen Datenbank. 

[0027] Es ist vorgesehen, daB vom zweiten Computer 
in der Datenzentrale die Gultigkeit von Daten uberpruft 
und erforderlichenfalls hergestellt wird, daB die Signatur 

2S vom zweiten Computer in der Datenzentrale aus den 
angeforderten Daten generiert wird. Somit ist sicherge- 
stellt, daB die vom Endgerat empfangenen teilweise zu- 
ruckzuubermrttelnden gultigen Daten vom zweiten 
Computer in der Datenzentrale mittels der Signatur mit- 

30 einander verknupft worden sind. Der erste Computer 
empfangt entsprechend der Anforderung uber Modem 
somit gultige Daten. Es ist weiterhin vorgesehen, daB 
vom ersten Computer anhand von Daten der zur Daten- 
zentrale ubermittelten Informationsgruppe und Daten 

35 einer empfangenen Informationsgruppe ein Vergleich 
vorgenommen wird, wobei mittels der Signatur eine Au- 
thentizitatsprufung hinsichtlich der empfangenen Infor- 
mationsgruppe durchgefuhrt wird, wobei bei der Au- 
thentizitatspruf ung ein offentlicher Schlussel verwendet 

40 wird, welcher in der zentralen oder einer lokalen Daten- 
bank abrufbar gespeichert ist. 

Im Falle einer festgestellten Abweichung zwischen den 
ubermittelten und empfangenen Daten im Ergebnts des 
Vergleiches wird der Datenbestand in der lokalen Da- 

45 ten bank nur dann aktualisiert, wenn die empfangenen 
Daten als authentisch gelten. Vom ersten Computer 
wird dann zu einem beliebig spateren Zeitpunkt aus den 
empfangenen Daten ein Druckbild generiert und ein 
Ausdrucken entsprechend veranlaBt. 

so [0028] Dem Gleichhaften der Postempfanger- 
adreBdaten in der lokalen Datenbank geht also eine Au- 
thentizitatsprufung anhand der Signatur im Personal- 
computer PC 1 voraus. Bei der Authentizitat6prufung 
wird ein offentlicher Schlussel verwendet, welcher von 

ss der zentralen oder einer lokalen Datenbank abrufbar ist. 
Der offentliche Schlussel kann in einem ungesicherten 
Speicherbereich zusammen mit einem zugehdrigem 
Datum fur das Gultigwerden gespeichert werden. 
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[0029] Mit dem offentlichen Schlussel kann jederman 
aus der Signalur durch Entschlusseln die Nachricht zu- 
ruckgewinnen. Zwecks Vergleich wird eine Refe- 
rencenachricht aus den ubermittelten Klardaten er- 
zeugt, indem die dieselbe vorgenannte spezielle mathe- 
matische Funktion zur Anwendung kommt, welche die 
Datenmenge reduziert. Bei Gleichheit der entschlussel- 
ten Nachricht mit der gebildeten Referencenachricht ist 
die Authentizitat der Daten gegeben, deren Gultigkeit 
durch die Datenzentrale zumindest fur die Postempfan- 
geradresse gesichert wird. 

[0030] Auf ebensolche Weise kann anhand der Si- 
gnatur in einem Postamt 50 Oder in einer Posteinliefe- 
rungsstelle bzw. einem Institut eines privaten Postbe- 
forderers mit der Authentizitatsprufung zugleich uber- 
pruft werden, ob eine Abrechnung in der Datenzentrale 
erfblgt ist. Zu diesem Zweck geht in die Signatur eine 
monoton stetig veranderbare GroBe ein, welche zu- 
gleich in Klarschrift auf dem Poststuck often aber min- 
destens maschinenlesbar abgedruckt wird. Einesolche 
GroBe sind beispielsweise die Zeitdaten zum Zeitpunkt 
des Abrufens der Signatur von der zentralen Datenbank 
oder die Stuckzahl. Zugleich werden anhand der aufge- 
druckten Zeitdaten bzw. Stuckzahl oder einer anderen 
GroBe in der Datenzentrale die Buchhaltungsdaten wie- 
derauffindbar und somit die Bezahlung der Dienstlei- 
stung im Detail uberprufbar. 

[0031] Das Postamt 50 bzw. beauftragte Institut kann 
dazu die Datenzentrale via Kommunikationverbindung 
anrufen, um in deren Datenbank gespeicherte Daten 
abzufragen. 

[0032] Ein Beispiel fur einen Abdruck auf einem Post- 
stuck wird anhand der Fig. 2 erlautert. Bei einem Brief 
ist das AdreBfeld zentral angeordnet. Die Postempfan- 
geradersse wird in Klarschrift und ein zugehoriger ZIP- 
Code wird als Barcode aufgedruckt. Der Frankierab- 
druck ist in der Peripherie rechts oben angeordnet. Eine 
Absenderangabe in der Peripherie links oben angeord- 
net ist optional. Fur die USPS wird ein ca. 1 Zoll breiter 
Frankierabdruck mit einem maschinenlesbaren Bereich 
erzeugt. Bestimmte Klardaten und die Signatur werden 
z.B. in eine PDF 417-Symbolik umgesetzt und gedruckt. 
Letztere ist von der Firma Symbol Technologies, inc. in 
EP 439 682 B1 naher beschrieben worden. Uber dem 
maschinenlesbaren Bereich ist der visuell (human) les- 
bare Bereich und ein Bereich fur den FIM-Code gemaB 
der US-Postvorschriften angeordnet. Links davon liegt 
ein weiterer Druckbereich, welcher vorzugsweise zum 
Drucken eines Werbeklischees verwendet werden 
kann. Wegen des FIM-Codes ergibt sich fur einen ca. 1 
Zoll breiten Frankierabdruck ein ca 11 bis 14 mm breiter 
visuell (human) lesbarer Bereich. Somit kann die restli- 
che Breite fur den maschinenlesbaren Bereich verwen- 
det werden. 

[0033] Die zur Datenzentrale ubermittelten Anforde- 
rungsdaten konnen in einer bevorzugten ersten Ausfuh- 
rungsvariante zusatzlich den Postwert, weitere Postver- 
sendungsdaten und eine monoton stetig veranderbare 



GroBe einschlieBen. Der Postwert und weitere Postver- 
sendungsdaten (EXPRESS, AIR MAIL,.., ) werden uber 
die Tastatur 14 des Personalcomputers PC 1 vom Be- 
nutzer fur jeden Brief eingegeben. 

5 [0034] Die Speicherung der Abrechnung bzw. Buch- 
haltungsdaten entsprechend weiterer Dienstleistungen 
erfolgt in der zentralen Datenbank. Da die Abrechnung 
der Postbeforderung in der Datenzentrale kundenspe- 
zifisch vorgenommen wird, kann eine Manipulation der 

10 Abrechnungsdaten in Falschungsabsicht ausgeschlos- 
sen werden. Eine lokale Portobox bzw. ein Meter ist 
beim Benutzer der Frankiereinrichtung unnotig. Die 
Festplatte 23 enthalt zur Buchung vorgesehene Spei- 
cherbereiche : entsprechend der vereinbarten Abrech- 

*5 nungsart und Dienstleistungsart. Zur Erhohung der Si- 
cherheit vor Datenverlust existiert mindestens eine wei- 
tere - nicht gezeigte - Festplatte 23' in der Datenzentra- 
le, in welcher eine redundante Speicherung aller Daten 
erfolgt. 

20 [0035] Eine Abrechnungsart fur vorgenannten 
Dienstleistung der Postbeforderung ist eine kumulative 
Abrechnung am Monatsende, wobei der kumulative Be- 
trag von einem Kundenkonto bei einer Bank oder einem 
vergleichbaren Kreditinstitut gemaB dem Lastschriftver- 

2S fahren abgebucht wird. Es kann ebenso eine andere Ab- 
rechnungsart, beispielsweise Sofortbezahlung oder 
Vorausbezahlung, vereinbart werden. Mit dem Kunden 
kann eine entsprechende Vereinbarung zu unterschied- 
lichen Abrechnungsarten fur unterschiedliche Dienstlei- 

30 stungen getroffen werden. 

[0036] Es ist in einer zweiten Ausfuhrungsvariante 
vorgesehen, da3 Versendungsdaten ubermittelt und 
auBerdem die Dienstleistung einer Portoberechnung in 
der Datenzentrale durchgefuhrt wird, wobei die kumu- 

35 Herten Dienstleitungskosten periodisch, beispielsweise 
am Tagesende, dem Kunden in Rechnung gestellt wer- 
den. Dazu ist es vorteilhaft, daB die Anforderungsdaten, 
welche zusammen mit der Adre3daten und weiteren 
Versendungsdaten zur Datenzentrale ubermittelt wer- 

40 den, auch Identifikationsdaten ID umfassen. Unter Iden- 
tifikationsdaten ID sollen eine Identifikationsnummer 
des Kunden bzw. des Postabsenders oder die Maschi- 
nenseriennummer, oder die Absendeadresse verstan- 
den werden. Um Betrugereien auszuschlieBen, wo ein 

45 anderer Absender vorgetauscht wird, ist es weiterhin 
vorgesehen, dalB solche Identifikationsdaten in die Si- 
gnatur ebenfalls mit eingehen. Die Datenzentrale er- 
zeugt eine Signatur aus den ubermittelten Anforde- 
rungsdaten, wie Postempfangeradresse und Identifika- 

so tionsdaten, sowie einer erzeugten monoton stetig ver- 
anderbare GroBe und dem Portowert mit Hilfe eines pri- 
vaten Schlussels und eines asymmetrischen Verschlus- 
selungsalgortthmus. 

[0037] Wenn aber andererseits wie bei der ersten 
55 Ausfuhrungsvariante die Dienstleistung einer Portobe- 
rechnung nicht in der Datenzentrale sondern in der 
Frankiereinrichtung durchgefuhrt wird, konnen solche 
Kosten nicht dem Kunden aufgeburdet werden, sondern 
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vielmehr ist ein Rabatt zu gewahren, da der Computer 
der Datenzentrale durch solche Berechnungen nicht un- 
notig blocktert wird. 

[0038] Bei der zweiten Ausf uhrungsvariante ist vorge- 
sehen, daB die empfangenen teilweise zuruckubermit- 
telten Daten einen in der Datenzentrale berechneten 
Portowert, eine Empfanderadresse, Identifikationsda- 
ten, Datenzentrale eine monoton stetig veranderbare 
GroBe und eine Signatur einschlieSen, wobei die Da- 
tenzentrale die monoton stetig veranderbare GroBe ge- 
neriert und aus den Qbermittetten Anforderungsdaten, 
wie Postempfangeradresse und Identifikationsdaten 
sowie aus weiteren ubermittelten Versendungsdaten 
den Portowert nach einem gultigen Tarif ermittelt. Bei 
einer Maximalvariante werden die Anforderungsdaten 
gleich fur mehrere Briefe erzeugt, die der Benutzer an 
seinem Personalcomputer PC 1 erstellt hat, welcherzu- 
gleich Bestandteil der Frankiereinrichtung ist. Entspre- 
chend der Anzahl der Briefe wird dann auch eine Anzahl 
von verschiedenen Signaturen zugeordnet zu den 
AdreB- und Frankierdaten erzeugt. Die zuruckubermit- 
telten Daten lassen sich uber die AdreBdaten den un- 
schiedlichen Briefen zuordnen. 

[0039] Als alternative Versendungsinformation zum 
Gewicht kann die Anzahlund das Format und das Ge- 
wicht der einzelnen Briefseiten je Brief ubermittelt wer- 
den. Das Brief gewicht laBt sich daraus in der Datenzen- 
trale ermitteln, ohne daB beim lokalen Benutzer eine 
Briefwaage an die Frankiereinrichtung angeschlossen 
werden muB. Gegebenenfalls eroffnet die Datenzentra- 
le wan rend der Kommunikation einen Userdialog via 
dem Display 1 2 mit dem Benutzer, um die Daten zu ver- 
vollstandigen, welche zur Portoberechnung erforderlich 
sind. 

[0040] Bei einer Minimalvariante, wird lediglich erne 
Signatur fur folgende Informationen Postempfanger- 
adresse, Postwert, Identifikationsdaten, Stuckzahlwert 
angefordert. Der Stuckzahlwert ist ein durch einen Nu- 
merateur erzeugter unverschlusselter Stuckzahlauf- 
druck. Durch einen Numerateur wird bereits ein hinrei- 
chender Schutz gegenuber Kopten des Abdruckes er- 
reicht. Bei Abholungder gesammetten Post durch einen 
Angestellten des Postbefordereres konnten bereits die 
Absender-ldentifikationsdaten und der vom Numera- 
teur erreichte Zahlstand mit den aufgedruckte Werten 
verglichen werden. 

[0041] Die Wahrscheinlichkeit ist auch dafur gering, 
daB zum selben Absendedatum ein gleich groBes und 
gleich schweres Poststuck an den selben Postempfan- 
ger geschickt wird. Die Wahrscheinlichkeit kann weiter 
verringert werden, indem gefordert wird, daB die Uhr- 
zeitdaten zusatzltch auf das Poststuck mit aufgedruckt 
werden. Die Zeitdaten konnen alternattv durch eine ge- 
naue Uhr - nicht gezeigt - von der Datenzentrale bereit- 
gestellt werden. 

[0042] Es ist in einer weiteren variante vorgesehen, 
daB alle auf das Poststuck aufzudruckenden Daten zu- 
vor zentral gespeichert werden. In dem Postamt kann 



die eingelieferte Post unter Mitwirkung der zentral ge- 
speicherten Daten daraufhin uberpruft werden, ob Ko- 
pien eines Abdruckes in Falschungsabsicht benutzt 
werden. Zu jedem eingelieferten Poststuck kann ein 

5 Eintrag in der zentralen Datenbank in einem besonde- 
ren Bereich vorgenommen werden. Ein doppelter Ein- 
trag in der Datenbank deutetdann auf einen gefalschten 
Abdruck hin. Durch die Verknupfung der Postempfan- 
geradresse mit dem Postwert und Stuckzahl uber die 

10 Signatur, ist es getrennt voneinander unmoglich, eines 
der beiden Postempfangeradresse bzw. Postwert fur 
Manipulationzwecke zu kopieren. 
[0043] Es ist weiterhin vorgesehen, daB ein jedes 
Schlusselpaar, bestehend aus einem privaten Schlus- 

*5 sel und einem offentlichen Schlussel, zertlich limitiert 
gultig ist und plotzlich zu einem bestimmten Datum und 
Uhrzeit von der Datenzentrale gewechselt werden 
kann. Die zeitlichen Abstande des Wechselns ergeben 
sich entsprechend dem aktuell erreichten Fortschritten 

20 bei modemen Analyseverfahren, beispielsweise der dif- 
ferenziellen Kryptoanalyse, und sind so bemessen, daB 
ein Angriff auf die Sicherheit des Systems mit hoher 
Wahrscheinlichkeit scheitem muB. 
[0044] Die Erfindung ist nicht auf die vorliegenden 

25 Ausfuhrungsform beschrankt, da offensichtlich weitere 
andere Anordnungen bzw. Ausfuhrungen der Erfindung 
entwickeltbzw. ein gesetzt werden konnen, die vom glei- 
chen Grundgedanken der Erfindung ausgehend, die 
von den anliegenden Anspruchen umfaBt werden. 

30 

Patentanspruche 

1. Frankiereinrichtung, mit einem ersten Computer 
35 und mit einem angeschlossenen Drucker, wobei der 
Computer einen Speicher mit einer lokalen Daten- 
bank fur PostempfangeradreBdateien und ein Kom- 
munikationsmittel enthalt, wobei der erste Compu- 
ter uber das Kommunikationsmittel mit einer Daten- 
40 zentrale verbunden ist, welche einen zweiten Com- 
puter mit einer zentralen Datenbank aufweist, 
gekennzeichnet dadurch, daB der erste Compu- 
ter programmiert ist, 

45 - auf eine gespeicherte bestimmte Postempfan- 
geradresse zuzugreifen oder eine neu einge- 
gebene bestimmte Postempfangeradresse 
zwischenzuspeichern, 

Anforderungsdaten des Postabsenders per 
50 Kommunikationsmittel zur Datenzentrale zu 

ubermitteln, wobei die Anforderungsdaten die 
Identifikationsdaten des Postabsenders und 
Postversendungsdaten, einschlieBlich die be- 
stimmte Postempfangeradresse; umfassen, 
55 um die Richtigkeit der Postempfangeradresse 

mrttels des 'zweiten Computers zu bestattgen 
oder anhand einer in der zentralen Datenbank 
gespetcherten Ad re B date i herzustellen, 
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Daten zu empfangen, betreffend eine gOltige 
Post empfangeradresse von einerin derzentra- 
len Datenbank gespeicherten AdreBdatei, ei- 
nen gultigen Portowert und eine Signatur, wo- 
bei der zwerte Computer der Datenzentrale die s 
angeforderten Daten nur mit einer Signatur 
ausstattet, wenn eine gultige Postempfanger- 
adresse in der zentralen Datenbank gespei- 
chert ist, wobei eine Mitteilung erzeugt wird, 
wenn eine automatische Korrektur einer Post- 10 
empfangeradresse unmoglich ist, 
die von der zentralen Datenbank empfangenen 
Daten einschlieBlich der Signatur zu verarbei- 
ten, urn einen authentischen Fran kierabd ruck 
auf das Poststuck abzudrucken. is 

Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daB der erste Computer weiter- 
hin programmiert ist, die Authentizitat der zur Fran- 
kiereinrichtung ubermittelten empfangenen Daten 20 
anhand der Signatur zu uberprufen und bei Authen- 
tizitat die AdreBdatei in der lokalen Datenbank be- 
zuglich der bestimmte Postempfangeradresse zu 
aktualisieren. 

25 

Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daB der erste Computer weiter- 
hin programmiert ist, die Anforderungsdaten zu bil- 
den, wobei die Postversendungsdaten den ge- 
wunschten Frankierwert einschlieBen. 30 

Verfahren zur Erzeugung guftiger Daten fur Fran- 
kierabdrucke, wobei von einer Frankiereinrichtung 
Anforderungsdaten gebildet und zu einer Daten- 
zentrale ubermittett und angeforderte Daten zu- 35 
ruckubermittelt und gespeichert werden, gekenn- 
zeichnet durch die Schritte: 

Bildung und Ubermittlung von Anforderungsda- 
ten, mit welchen ein erster Computer der Fran- 40 
kiereinrichtung von einem zweiten Computer 
einer Datenzentrale eine Signatur anfordert, 
wobei die Anforderungsdaten mindestens eine 
Informationsgruppe mit Postempfangeradres- 
sendaten und Identifikationsdaten einschiie- 4$ 
Ben, 

Verifikation von ubermittelten Daten in einer 
Datenzentrale, 

Erzeugung einer Signatur auf der Basis verifi- 
zierter Daten unter Verwendung eines asym- so 
metrischen Kryptoalgorithmus und geheimen 
prtvaten Schlussels, sowie 
Ruckubermtttlung der verifizierten Daten und 
der Signatur zur Frankiereinrichtung, wobei die 
Authentizitat der zuruckubermittelten Daten ss 
anhand der Signatur unter Verwendung eines 
offentlichen Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Da- 



ten in einer lokalen Datenbank. 

5. Verfahren, nach Anspruch 4, gekennzeichnet da- 
durch, 

daB vom zweiten Computer in der Datenzen- 
trale die Gultigkeit von Daten uberpruft und er- 
forderlichenfalls hergestellt wird, daB die Si- 
gnatur vom zweiten Computer in der Datenzen- 
trale aus den angeforderten Daten generiert 
wird, wobei die teilweise zuruckzuubermitteln- 
den Daten vom zweiten Computer in der Da- 
tenzentrale mittels der Signatur miteinander 
verknupft werden, 

daB der erste Computer entsprechend der An- 
forderung uber Modem gultige Daten emp- 
fangt, 

daB vom ersten Computer anhand von Daten 
der zur Datenzentrale ubermittelten Informati- 
onsgruppe und Daten einer empfangenen In- 
formationsgruppe ein Vergleich vorgenommen 
wird, wobei mittels der Signatur eine Authenti- 
zitatsprufung hinsichtlichder empfangenen In- 
formationsgruppe durchgefuhrt wird, wobei bei 
der Authentizitatsprufung ein offentlicher 
SchJussel verwendet wird, welcher in der zen- 
tralen Oder einer lokalen Datenbank abrufbar 
gespeichert ist, 

daB im Falle einer festgestellten Abweichung 
zwischen den ubermittelten und empfangenen 
Daten im Ergebnis des Vergleiches der Daten- 
bestand in der lokalen Datenbank nur dann ak- 
tualisiert wird, wenn die empfangenen Daten 
als authentisch gelten, sowie 
daB vom ersten Computer aus den empfange- 
nen Daten ein Druckbild generiert und ein Aus- 
drucken entsprechend veranlaBt wird. 

6. Verfahren, nach Anspruch 5, gekennzeichnet da- 
durch, daB die zur Datenzentrale ubermittelten An- 
forderungsdaten zusatzlich den Postwert, weitere 
Postversendungsdaten und eine monoton stetig 
veranderbare GroBe einschlieBen. 

7. Verfahren, nach Anspruch 5, gekennzeichnet da- 
durch, daB die empfangenen teilweise zuruckOber- 
mittelten Daten einen in der Datenzentrale berech- 
neten Portowert, eine Empfanderadresse, Identifi- 
kationsdaten, Datenzentrale eine monoton stetig 
veranderbare GroBe und eine Signatur einschlie- 
Ben, wobei die Datenzentrale die monoton stetig 
veranderbare GroBe generiert und aus den uber- 
mittelten Anforderungsdaten, wie Postempfanger- 
adresse und Identifikationsdaten sowie aus weite- 
ren ubermittelten Daten den Portowert nach einem 
gultigen Tarif ermrttelt, sowie aus den ubermitterten 
Anforderungsdaten, wie Postempfangeradresse 
und Identifikationsdaten, sowie der erzeugten mo- 
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noton stettg veranderbare GroBe und dem Porto- 
werl mit Hilfe eines privaten Schlussels und eines 
asymmetrischen Verschlusselungsalgorithmus ei- 
ne Signatur erzeugt 

s 

8. Vertahren, nach den Anspruchen 6 Oder 7, gekenn- 
zeichnet dadurch, daB die monoton stettg veran- 
derbare GroBe eine zeitbezogene GroBe ist. 

9. Vertahren, nach den Anspruchen 6 oder 7, gekenn- to 
zeichnet dadurch, daB die monoton stetig veran- 
derbare GroBe eine Stuckzahl an abgerechneten 
Poststucken ist. 

10. Vertahren, nach den Anspruchen 4 und 5 oder 7, ^ 
gekennzeichnet dadurch, daB ein jedes Schlus- 
selpaar aus privaten Schlussel und einem offentli- 
chen Schlussel zeitlich limitiert gultig ist und pidtz- 
lich zu einem bestimmten Datum und Uhrzeit von 
der Datenzentrale gewechselt werden kann. 20 
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(54) Frankiereinrichtung und ein Verfahren zur Erzeugung gultiger Daten fur Frankierabdrucke 



(57) Eine Frankiereinrichtung (10) fur ein kleines 
Postaufkommen besteht aus einem Computer (11) und 
mit einem angeschlossenen Drucker (17), wobei der 
Computer einen Speicher (1 3) mit einer lokalen Daten- 
bank fur Postempf an geradreBdatei en uberein Kommu- 
nikationsmittel (1 5) mit einer Datenzentrale (20) verbun- 
den ist, welche eine zentrale Datenbank (23) aufweist. 
Der Computer (11) ist entsprechend programmiert, daB 
Anforderungsdaten gebildet und zur Datenzentrale 
ubermittelt und angeforderte zuruckubermittelte Daten 
empfangen und gespeichert werden. Das Verfahren zur 
Erzeugung gultiger Daten fur Frankierabdrucke umfaBt 
dabei folgende Schritte: 

Bildung und Ubermittlung von Anforderungsdaten 



fur eine Si gnat ur, 

Verifikation von ubermittelten Daten in einer Daten- 
zentrale (20), 

Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
Signatur zur Frankiereinrichtung (10), wobei die Au- 
thentizitat der zuruckubermittelten Daten anhand 
der Signatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
der lokalen Datenbank (13). 
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